Cloudflare Tunnels Disalahgunakan untuk Penyebaran Malware

Perusahaan keamanan siber mengeluarkan peringatan tentang meningkatnya penyalahgunaan layanan gratis TryCloudflare dari Cloudflare untuk penyebaran malware. Aktivitas ini telah didokumentasikan oleh eSentire dan Proofpoint, yang menunjukkan bahwa penyerang menggunakan TryCloudflare untuk membuat terowongan sekali pakai. Terowongan ini bertindak sebagai jalur untuk mengalihkan lalu lintas dari server yang dikendalikan oleh penyerang ke mesin lokal melalui infrastruktur Cloudflare.

Rantai serangan ini telah terdeteksi mengirimkan berbagai jenis malware seperti AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT, dan XWorm. Vektor awal untuk akses ini adalah email phishing yang berisi arsip ZIP. Arsip ini mencakup file pintasan URL yang mengarahkan penerima pesan ke file pintasan Windows yang dihosting di server WebDAV yang diproksikan oleh TryCloudflare.

File pintasan tersebut kemudian menjalankan skrip batch tahap berikutnya yang bertanggung jawab untuk mengambil dan mengeksekusi payload Python tambahan, sambil menampilkan dokumen PDF tipuan yang dihosting di server WebDAV yang sama untuk menjaga kedok serangan tetap utuh.

Menurut eSentire, "Skrip-skrip ini melakukan tindakan seperti meluncurkan PDF tipuan, mengunduh payload berbahaya tambahan, dan mengubah atribut file untuk menghindari deteksi." Elemen kunci dari strategi mereka adalah menggunakan syscall langsung untuk melewati alat pemantauan keamanan, mendekripsi lapisan shellcode, dan menggunakan injeksi antrian APC Early Bird untuk menjalankan kode secara diam-diam dan menghindari deteksi dengan efektif.

Proofpoint melaporkan bahwa umpan phishing ini ditulis dalam berbagai bahasa seperti Inggris, Prancis, Spanyol, dan Jerman. Volume email yang dikirimkan bervariasi, dari ratusan hingga puluhan ribu pesan, yang menargetkan organisasi di seluruh dunia. Tema-temanya mencakup berbagai topik seperti faktur, permintaan dokumen, pengiriman paket, dan pajak.

Meskipun kampanye ini terkait dengan satu kluster aktivitas yang sama, belum ada kaitan yang pasti dengan aktor atau grup ancaman tertentu. Namun, vendor keamanan email menilai bahwa kampanye ini bermotivasi finansial. Penyalahgunaan TryCloudflare untuk tujuan jahat pertama kali tercatat tahun lalu, ketika Sysdig mengungkap kampanye cryptojacking dan proxyjacking yang dijuluki LABRAT. Kampanye tersebut memanfaatkan kerentanan kritis yang sekarang telah ditambal di GitLab untuk menyusup ke target dan menyembunyikan server command-and-control (C2) mereka menggunakan terowongan Cloudflare.

Selain itu, penggunaan WebDAV dan Server Message Block (SMB) untuk staging dan pengiriman payload mengharuskan perusahaan membatasi akses ke layanan berbagi file eksternal hanya pada server yang dikenal dan diizinkan. Joe Wise dan Selena Larson, peneliti dari Proofpoint, mencatat bahwa "Penggunaan terowongan Cloudflare memberikan aktor ancaman cara untuk menggunakan infrastruktur sementara untuk meningkatkan operasi mereka, memberikan fleksibilitas untuk membangun dan menurunkan instance secara tepat waktu."

Metode ini membuat lebih sulit bagi para pembela dan langkah-langkah keamanan tradisional, seperti mengandalkan daftar blokir statis. Instance Cloudflare sementara memungkinkan penyerang menggunakan metode biaya rendah untuk mengatur serangan dengan skrip pembantu, dengan eksposur terbatas untuk upaya deteksi dan penurunan.

Temuan ini juga mendorong Proyek Spamhaus untuk menyerukan Cloudflare meninjau kebijakan anti-penyalahgunaannya setelah penjahat siber mengeksploitasi layanannya untuk menyamarkan tindakan jahat mereka dan meningkatkan keamanan operasional melalui konsep living-off-trusted-services (LoTS). Mereka mencatat bahwa pelaku kejahatan siber memindahkan domain mereka, yang sudah terdaftar dalam Daftar Blokir Domain (DBL), ke Cloudflare untuk menyamarkan backend operasi mereka, baik itu untuk domain spam, phishing, atau aktivitas yang lebih berbahaya.

Penyalahgunaan layanan Cloudflare oleh penjahat siber menunjukkan tantangan besar dalam upaya untuk mengamankan infrastruktur digital. Dengan terowongan sementara yang digunakan untuk menyebarkan malware dan menghindari deteksi, langkah-langkah keamanan tradisional sering kali tidak cukup. Perusahaan perlu meningkatkan pengawasan dan menerapkan kebijakan keamanan yang lebih ketat untuk melindungi diri dari serangan semacam ini.